專(zhuān)利名稱(chēng):密碼裝置和方法以及密碼系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及密碼裝置和方法以及密碼系統(tǒng)��。特別是涉及為了降低在網(wǎng)絡(luò)上由于外部攻擊而引起的信息被盜取或刪改等危險(xiǎn)而實(shí)施信息加密/解密的裝置及方法�,以及應(yīng)用該裝置和方法的系統(tǒng)。
背景技術(shù):
在獨(dú)立地使用個(gè)人計(jì)算機(jī)(個(gè)人電腦)時(shí)��,個(gè)人計(jì)算機(jī)內(nèi)部的信息的被盜取����、刪改,或被破壞的危險(xiǎn)性很小���。但是,將個(gè)人計(jì)算機(jī)與互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接后�,由于交換的信息將向多個(gè)網(wǎng)絡(luò)路由。因此顯著提高了在該途中被盜取或刪改的可能性���。
“信息加密”是用于解決此問(wèn)題的方法的一�。即在發(fā)送側(cè)的個(gè)人計(jì)算機(jī)中將信息加密后再發(fā)送到對(duì)方。在接受側(cè)的個(gè)人計(jì)算機(jī)中將其解密后再使用���。采用這種方法��,即使在網(wǎng)絡(luò)的中途信息被盜取�,由于信息被加密���,信息本身的被看到的可能性小���,另外也降低了被刪改的危險(xiǎn)性。
但是���,為了使用密碼�����,需要在欲進(jìn)行密碼通信的終端��,都安裝專(zhuān)用的密碼軟件�����,必須進(jìn)行各種的設(shè)定��。但是�,連接各種終端的網(wǎng)絡(luò),除了互聯(lián)網(wǎng)的外����,還存在企業(yè)內(nèi)的LAN(Local Area Network)等。在該LAN內(nèi)存有打印機(jī)或傳真機(jī)等物理上不能安裝密碼軟件的終端�,或打印機(jī)服務(wù)器或數(shù)據(jù)庫(kù)服務(wù)器等由于動(dòng)作上穩(wěn)定等問(wèn)題不適合安裝多余的軟件的終端,不具備OS(操作系統(tǒng))而單純具有網(wǎng)絡(luò)終端的功能的終端等�。因此通常在企業(yè)內(nèi)LAN中使用密碼是很困難。
但是很多的LAN是連接在互聯(lián)網(wǎng)上��,根據(jù)需要從LAN內(nèi)的個(gè)人計(jì)算機(jī)對(duì)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)��,實(shí)現(xiàn)信息交換�����,但是如此將LAN連接到互聯(lián)網(wǎng)(Inter Net)時(shí)����,由于外部的不正當(dāng)侵入或攻擊,LAN內(nèi)部的機(jī)密信息存在被盜取或被刪改的危險(xiǎn)性��。
于是���,為了防止不具有存取權(quán)的第三者不正當(dāng)?shù)厍秩隠AN���,可以使用防火墻(Fire wall)。防火墻通常是用于將一臺(tái)服務(wù)器與LAN或互聯(lián)網(wǎng)連接的連接部�����,在這里使專(zhuān)用的軟件運(yùn)行就可實(shí)現(xiàn)該功能�。但是雖然設(shè)置有防火墻,如果攻擊存在于網(wǎng)絡(luò)上的安全死點(diǎn)而被不正當(dāng)侵入的情況仍然不少��,一旦被不正當(dāng)侵入后��,由于內(nèi)部的信息是沒(méi)有加密�����,所以很容易發(fā)生被盜取或被刪改的問(wèn)題����。
再者,以往�,作為將傳播在互聯(lián)網(wǎng)上的數(shù)據(jù)進(jìn)行路由的中繼機(jī)的路由器,有很多具備有密碼功能,例如��,VPN(Virtual Private Network)路由器便是其中的一例�����。如果使用該VPN路由器�,即使在終端上不安裝專(zhuān)用的密碼軟件的情況下,仍然在各VPN路由器之間可以進(jìn)行密碼通信���。
但是�����,該VPN路由器是作為使用互聯(lián)網(wǎng)連接多個(gè)LAN而設(shè)置的����、假想專(zhuān)用線上的中繼機(jī)而被使用的設(shè)備��。因此�,在互聯(lián)網(wǎng)的中途可以將各LAN互相交換的信息予以加密,但是存在無(wú)法將LAN內(nèi)的信息予以加密的問(wèn)題����。
再者�,為了在VPN路由器上進(jìn)行加密���,路由器必須具有通信用的IP地址。下面使用圖1說(shuō)明該情況��。圖1是表示以往的VPN路由器以及與它連接的個(gè)人計(jì)算機(jī)的通信協(xié)議的層次結(jié)構(gòu)的圖���。
如圖1所示����,欲通信的兩臺(tái)個(gè)人計(jì)算機(jī)101���、102��,分別具有一個(gè)端口105�、106���。作為中繼機(jī)的VPN路由器103����、104是分別備有兩個(gè)端口(107��、108)、(109��、110)����。對(duì)VPN路由器103的各端口107、108而分別地設(shè)置有OSI參照模式的物理層�����、MAC層(數(shù)據(jù)鏈路層)�����、IP-Sec���。對(duì)各端口107����、108共同設(shè)有IP層(網(wǎng)絡(luò)層)��、TCP/UDP層(傳輸層)�。對(duì)VPN路由器104的各端口109、110也是同樣�����。
層越深距離使用者越遠(yuǎn),相反層越淺越靠近使用者��。在各個(gè)人計(jì)算機(jī)101�、102中在IP層的上位層存在TCP/UDP層和應(yīng)用層(圖中均未表示)����,來(lái)橋接使用者所使用的應(yīng)用層與下面的層。
在數(shù)據(jù)的發(fā)送側(cè)���,自上位層朝向下位層���,每通過(guò)一層改變一次數(shù)據(jù),并且在各層中附加可以使數(shù)據(jù)傳送用的頭部����。相反,在數(shù)據(jù)的接受側(cè)����,對(duì)照各層收信地址的頭部,在各層提取必要的數(shù)據(jù)����。并且被提取的數(shù)據(jù)是交予上位層����,最后通過(guò)應(yīng)用層交給使用者���。
下面分別說(shuō)明各層的功能�����。TCP/UDP層是確定應(yīng)該移交數(shù)據(jù)的應(yīng)用層�����,管理數(shù)據(jù)包的狀態(tài)等的層�����。在數(shù)據(jù)發(fā)送側(cè)�����,確認(rèn)將上位層(應(yīng)用層)所交來(lái)的數(shù)據(jù)應(yīng)該移交予對(duì)方的哪一應(yīng)用系統(tǒng)��,而將接受地址的端口號(hào)碼附加于數(shù)據(jù)中再交至下位層(網(wǎng)絡(luò)層)����。另一個(gè)面,在數(shù)據(jù)接受側(cè)���,監(jiān)視從下位層所交上來(lái)的數(shù)據(jù)包有無(wú)發(fā)生由于通信狀態(tài)等的缺失�。
IP層是用于將跨越于多個(gè)網(wǎng)絡(luò)的終端間的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)或進(jìn)行關(guān)于數(shù)據(jù)中繼的協(xié)議和控制的層�����。對(duì)成為通信對(duì)象的發(fā)送側(cè)與接受側(cè)的個(gè)人計(jì)算機(jī)101����、102分別分派不同的IP地址①��,⑥��。通過(guò)確定這些而可決定首尾相連(end to end)的邏輯上通信路徑�。具有二個(gè)端口(107、108)���,(109�����、110)的VPN路由器103�、104情況下,IP地址是按每端口單獨(dú)地予以分派����。
MAC(Media Access Control)層,是用于保證在鄰接機(jī)器的節(jié)點(diǎn)間的高可靠性的數(shù)據(jù)傳送的層��。在制造階段就具備分派給各個(gè)機(jī)器的物理的MAC地址����。在數(shù)據(jù)發(fā)送側(cè),在IP層確定通信對(duì)象的IP地址后��,即位于該下位位置的MAC層中���,根據(jù)確定出的對(duì)方的IP地址���,決定下一路經(jīng)機(jī)器(物理上連接的鄰接節(jié)點(diǎn))的收信地址。另一個(gè)面�����,在數(shù)據(jù)接受側(cè),根據(jù)MAC地址��,判斷是發(fā)給自己的數(shù)據(jù)包之后�,在該上位層的IP層解析IP地址,判斷是該數(shù)據(jù)包對(duì)其他機(jī)器進(jìn)行路由還是取入自己內(nèi)����。
物理層,是將上位層交給的數(shù)據(jù)變換為電氣信號(hào)或光信號(hào)���,通過(guò)同軸電纜或光纖電纜等的傳輸介質(zhì)111進(jìn)行實(shí)際的數(shù)據(jù)傳送��,或?qū)魉兔襟w111送來(lái)的電氣信號(hào)或光信號(hào)變換成上位層可識(shí)別的數(shù)據(jù)����,而將它交付于上位層的層����。作為物理層上位層的MAC層中�����,依照物理層的通信接口的方法�,實(shí)施上述的處理。
IP-Sec是進(jìn)行數(shù)據(jù)的加密處理及解密處理的功能部,即從MAC層取得交給IP層的數(shù)據(jù)��,實(shí)施該數(shù)據(jù)的加密處理及密碼的解密處理�����。
使用具有這種層次結(jié)構(gòu)的VPN路由器103����、104,在個(gè)人計(jì)算機(jī)101�、102間實(shí)施密碼通信的時(shí)候,在VPN路由器103中���,例如在第1的端口107接受一個(gè)個(gè)人計(jì)算機(jī)101發(fā)給另一個(gè)人計(jì)算機(jī)102的IP數(shù)據(jù)包����,將該數(shù)據(jù)包依次分解轉(zhuǎn)交到IP層��。此時(shí)��,從數(shù)據(jù)包中所提取的數(shù)據(jù)在IP-Sec中被加密��。并且根據(jù)包含在數(shù)據(jù)包頭部中的收信方IP地址���,參照路由器本身所具備的路由表來(lái)決定下一個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)�,自IP層到物理層再次組建數(shù)據(jù)包,從第2的端口108發(fā)出��。
從VPN路由器103的第2的端口108輸出的加密數(shù)據(jù)包��,由VPN路由器104的第1端口109接受�����。VPN路由器104將所接受的加密數(shù)據(jù)包依次分解轉(zhuǎn)交IP層��,在IP-Sec中將從數(shù)據(jù)包中提取的數(shù)據(jù)予以解密�,并且,根據(jù)包含在數(shù)據(jù)包頭部中的接受方IP地址���,參照路由器本身所具備的路由表���,決定下一個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn),從IP層到物理層再次組建數(shù)據(jù)包���,經(jīng)由第2的端口110發(fā)出。
從該第2的端口110輸出的IP數(shù)據(jù)包�����,是在個(gè)人計(jì)算機(jī)102被接受。該被接受的IP數(shù)據(jù)包是通過(guò)物理層���、MAC層��、IP層�、而依次分解轉(zhuǎn)交至其上位層��,最后通過(guò)圖中未表示的應(yīng)用層���,將數(shù)據(jù)交給使用者�����。由上述的順序�,即使個(gè)人計(jì)算機(jī)101���、102不具備密碼軟件�����,仍然可以在VPN路由器103���、104之間實(shí)施密碼通信��。
圖1所示的系統(tǒng)的情況�����,在VPN路由器103�、104的兩側(cè)存在不同的網(wǎng)絡(luò)(具有個(gè)人計(jì)算機(jī)101的網(wǎng)絡(luò)A��,及具有個(gè)人計(jì)算機(jī)102的網(wǎng)絡(luò)B)�,集中這些而構(gòu)成互聯(lián)網(wǎng)。因此對(duì)每一個(gè)網(wǎng)絡(luò)分別分派不同的互聯(lián)網(wǎng)地址��。所以在這些不同的網(wǎng)絡(luò)間執(zhí)行路由(選擇路徑����,根據(jù)情況丟棄數(shù)據(jù)包,分割或合并數(shù)據(jù)包等)的VPN路由器103�、104也必須具備不同的IP地址,因此就存在需要進(jìn)行繁雜的地址設(shè)定作業(yè)的問(wèn)題����。
再者,在VPN路由器103���、104中��,通常連接于第1的端口107�����、109的網(wǎng)絡(luò)與連接于第2的端口108��、110的網(wǎng)絡(luò)是不同的����,因而需要對(duì)每個(gè)端口設(shè)定不同的IP地址�����。在VPN路由器103�、104的輸出及輸入中IP地址將有所不同,因此���,在網(wǎng)絡(luò)上的終端之間插入VPN路由器��,或從終端間拆除VPN路由器時(shí)��,不但需要進(jìn)行VPN路由器自身地址的設(shè)定�,而且連接于該VPN路由器終端的地址設(shè)定也須要變更,于是產(chǎn)生需要進(jìn)行各種繁雜作業(yè)的問(wèn)題�����。
例如在圖1的例中��,以不連接VPN路由器103��、104的狀態(tài)實(shí)施通信時(shí)����,由于個(gè)人計(jì)算機(jī)101、102存在于同一網(wǎng)絡(luò)內(nèi)��,所以網(wǎng)絡(luò)地址都是同一地址��,由而在個(gè)人計(jì)算機(jī)101�、102間可以直接通信。此時(shí)從個(gè)人計(jì)算機(jī)101��,發(fā)送數(shù)據(jù)包至個(gè)人計(jì)算機(jī)102的IP地址成為如圖2(a)所示�����。即對(duì)發(fā)送側(cè)的個(gè)人計(jì)算機(jī)101的發(fā)送方IP地址①,與接受側(cè)的個(gè)人計(jì)算機(jī)102的接受方IP地址⑥的網(wǎng)絡(luò)地址�,可以設(shè)定同樣的網(wǎng)絡(luò)地址A。
與此相對(duì)���,在個(gè)人計(jì)算機(jī)101與個(gè)人計(jì)算機(jī)102之間插入VPN路由器103、104時(shí)��,被發(fā)送數(shù)據(jù)包的IP地址將為如圖2(b)所示����。即個(gè)人計(jì)算機(jī)101、102是存在于不同的網(wǎng)絡(luò)�����,所以對(duì)發(fā)送方IP地址①和接受方IP地址⑥必須分別設(shè)定不同的網(wǎng)絡(luò)地址A���、B���。
這樣,在個(gè)人計(jì)算機(jī)101與個(gè)人計(jì)算機(jī)102之間插入VPN路由器103����、104時(shí),或相反地拆下VPN路由器103����、104時(shí)��,個(gè)人計(jì)算機(jī)101�����、102所屬的網(wǎng)絡(luò)會(huì)改變���。因而,與其配合�,需要變更個(gè)人計(jì)算機(jī)101,102的默認(rèn)網(wǎng)關(guān)(default gate way)的地址(對(duì)與自己不同的網(wǎng)絡(luò)實(shí)施通信時(shí)收信的IP地址(VPN路由器103�、104的端口107、110))或個(gè)人計(jì)算機(jī)101���、102的任何的一個(gè)的IP地址的設(shè)定���。
如上所述,在以往的VPN路由器中��,根據(jù)該連接的有無(wú)而保持透過(guò)性是很困難的�,所以在系統(tǒng)導(dǎo)入或維修時(shí),存在需要很多作業(yè)的問(wèn)題。
發(fā)明內(nèi)容
本發(fā)明是為了解決此問(wèn)題而提出���,其目的在于�,在具有不能安裝專(zhuān)用密碼軟件的終端的企業(yè)內(nèi)LAN中也使用密碼�����,可以降低由于來(lái)自外部的不正當(dāng)侵入或攻擊而使機(jī)密信息的被盜取或刪改的危險(xiǎn)性�。
另外����,本發(fā)明的目的在于,不需要進(jìn)行地址設(shè)定的繁雜作業(yè)��,就可以在企業(yè)內(nèi)LAN中使用密碼��。
本發(fā)明的密碼裝置��,是備有多個(gè)端口�,其中的至少一個(gè)端口上,直接或間接地連接有具有密碼處理功能的終端(除處理安裝密碼軟件以外���,包括具有本發(fā)明功能的其他密碼裝置)的密碼裝置�����,其具有加密/解密機(jī)構(gòu)�����,其在上述具有密碼處理功能的終端之間�,為了保證終端由加密而實(shí)現(xiàn)的安全,進(jìn)行數(shù)據(jù)的加密處理和解密處理��,橋接機(jī)構(gòu)���,其將從上述多個(gè)的端口中的一個(gè)端口輸入的�、由上述加密/解密機(jī)構(gòu)施以加密處理或解密處理的數(shù)據(jù)��,不進(jìn)行路由處理�,而保持原樣地由其他端口輸出。
本發(fā)明的另一方案��,上述加密/解密機(jī)構(gòu)��,為了在上述具有密碼處理功能的終端之間進(jìn)行加密的數(shù)據(jù)通信���,并且在不具有密碼處理功能的終端之間進(jìn)行未加密的數(shù)據(jù)通信��,進(jìn)行上述加密處理和上述解密處理�。
本發(fā)明的其他方案,在備有多個(gè)的端口����、其中至少一個(gè)端口直接或間接地連接有具有密碼處理功能的終端的密碼裝置中,具有加密/解密機(jī)構(gòu)����,其對(duì)從上述多個(gè)的端口中的一個(gè)端口輸入的,通過(guò)物理層和數(shù)據(jù)鏈路層交予的數(shù)據(jù)���,施以加密處理或解密處理;橋接機(jī)構(gòu)��,其將由上述加密/解密機(jī)構(gòu)施以加密處理或解密處理的數(shù)據(jù)��,并不交予實(shí)施網(wǎng)絡(luò)間的路由控制的網(wǎng)絡(luò)層��,而通過(guò)數(shù)據(jù)鏈路層和物理層由其他的端口輸出�����。
本發(fā)明的另一方案�����,具備設(shè)定信息存儲(chǔ)機(jī)構(gòu),其用于存儲(chǔ)有關(guān)控制上述加密處理和上述解密處理的設(shè)定信息���,上述加密/解密機(jī)構(gòu)�����,對(duì)照存儲(chǔ)在上述設(shè)定信息存儲(chǔ)機(jī)構(gòu)的設(shè)定信息���,和附加在自上述一個(gè)端口輸入的數(shù)據(jù)包頭部信息,進(jìn)行上述加密處理及解密處理的控制����。
另外,本發(fā)明的密碼方法是在具有多個(gè)的端口�����,其中的至少一個(gè)端口�,直接或間接地連接有具有密碼處理功能的終端的密碼裝置中,實(shí)施加密處理或解密處理的方法�����,對(duì)從上述多個(gè)端口中的一個(gè)端口輸入的通過(guò)物理層及數(shù)據(jù)鏈路層交付的數(shù)據(jù)施以加密處理或解密處理,將由此獲得的數(shù)據(jù)���,并不交予進(jìn)行網(wǎng)絡(luò)間路由控制的網(wǎng)絡(luò)層�,而通過(guò)數(shù)據(jù)鏈路層和物理層����,由其他的端口而輸出。
另外��,本發(fā)明的密碼系統(tǒng)�����,是具有密碼處理功能的終端和權(quán)利要求1項(xiàng)所述密碼裝置����,通過(guò)無(wú)線或有機(jī)的網(wǎng)絡(luò)連接而構(gòu)成的�。
本發(fā)明的其他方式中的密碼系統(tǒng),在具有密碼處理功能的終端和不具有密碼處理功能的終端之間����,通過(guò)無(wú)線或有線的網(wǎng)絡(luò),連接權(quán)利要求2項(xiàng)所述的密碼裝置而構(gòu)成的�。
圖1是表示以往的VPN路由器及與其連接的個(gè)人計(jì)算機(jī)中的通信協(xié)議的層次結(jié)構(gòu)的圖�����。
圖2是說(shuō)明在以往的系統(tǒng)中通過(guò)互聯(lián)網(wǎng)上的數(shù)據(jù)包的IP地址的圖�。
圖3是表示應(yīng)用了本實(shí)施方式的密碼裝置的密碼系統(tǒng)的構(gòu)成例子的圖�。
圖4是表示應(yīng)用了本實(shí)施方式的密碼裝置的密碼系統(tǒng)的另一構(gòu)成例子的圖。
圖5是表示應(yīng)用了本實(shí)施方式的密碼裝置的密碼系統(tǒng)的再另一個(gè)構(gòu)成例子的圖���。
圖6是表示應(yīng)用了本實(shí)施方式的密碼裝置的密碼系統(tǒng)的進(jìn)一步另一個(gè)構(gòu)成例子的圖���。
圖7是表示本實(shí)施方式的密碼裝置和與該裝置連接的DB服務(wù)器和個(gè)人計(jì)算機(jī)中的通信協(xié)議層次結(jié)構(gòu)的圖。
圖8是用于說(shuō)明在本實(shí)施方式中通過(guò)互聯(lián)網(wǎng)上的數(shù)據(jù)包的IP地址的圖��。
圖9是用于說(shuō)明通過(guò)本實(shí)施方式的密碼裝置中的數(shù)據(jù)包的MAC地址的圖����。
圖10是用于說(shuō)明通過(guò)以往的VPN路由器中的數(shù)據(jù)包的MAC地址的圖。
具體實(shí)施例方式
下面根據(jù)
本發(fā)明的實(shí)施方式之一���。
圖3是表示應(yīng)用了本實(shí)施方式的密碼裝置的密碼系統(tǒng)的整體構(gòu)成的圖�����。
圖3中���,1是本實(shí)施方式的密碼裝置��,備有兩個(gè)端口��,在一個(gè)的端口連接有網(wǎng)絡(luò)打印機(jī)2�、DB服務(wù)器3���、網(wǎng)絡(luò)終端4等設(shè)備�,在另一個(gè)的端口連接有集線器5��。該密碼裝置1是在網(wǎng)絡(luò)打印機(jī)2�����、DB服務(wù)器3����、網(wǎng)絡(luò)終端4等設(shè)備與集線器5之間實(shí)施數(shù)據(jù)的中繼。
網(wǎng)絡(luò)打印機(jī)2是物理上不能安裝密碼軟件的終端��。DB服務(wù)器3是由于動(dòng)作穩(wěn)定上等問(wèn)題而不適于安裝多余的密碼軟件的終端��。網(wǎng)絡(luò)終端4是不具備OS無(wú)法使密碼軟件運(yùn)行的終端����。所以在這些終端2~4中沒(méi)有安裝密碼軟件。
另外����,集線器5是在物理層進(jìn)行數(shù)據(jù)中繼的設(shè)備,除了上述的密碼裝置1以外�����,還與無(wú)線接入點(diǎn)6及臺(tái)式個(gè)人計(jì)算機(jī)7連接����。即此時(shí)的集線器5實(shí)施密碼裝置1、與無(wú)線接入點(diǎn)6和臺(tái)式個(gè)人計(jì)算機(jī)7之間的數(shù)據(jù)中繼����。
再者,上述無(wú)線接入點(diǎn)6���,通過(guò)無(wú)線與臺(tái)式個(gè)人計(jì)算機(jī)8和膝上型個(gè)人計(jì)算機(jī)9連接��。在臺(tái)式個(gè)人計(jì)算機(jī)7�、8和膝上型電腦9中,可以安裝用于進(jìn)行數(shù)據(jù)的加密和解密的密碼軟件�����,實(shí)際上是安裝有密碼軟件����。
這樣,本實(shí)施方式的密碼裝置1是具有兩個(gè)端口�,一個(gè)端口通過(guò)集線器5和無(wú)線接入點(diǎn)6間接地與作為具有密碼處理功能終端的個(gè)人計(jì)算機(jī)7~9c連接。另外�,在另一個(gè)端口直接地與網(wǎng)絡(luò)打印機(jī)2、DB服務(wù)器3�����、網(wǎng)絡(luò)終端4連接���,并且�����,由些密碼裝置1�、網(wǎng)絡(luò)打印機(jī)2�、DB服務(wù)器3、網(wǎng)絡(luò)終端4、集線器5��、無(wú)線接入點(diǎn)6����、個(gè)人計(jì)算機(jī)7~9構(gòu)成一個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)��。
根據(jù)上述構(gòu)成�����,在沒(méi)有安裝密碼軟件的網(wǎng)絡(luò)打印機(jī)2���、DB服務(wù)器3��、網(wǎng)絡(luò)終端4與安裝有密碼軟件的個(gè)人計(jì)算機(jī)7~9(這些設(shè)備2~4����、7~9均相當(dāng)于本發(fā)明的終端)之間��,通過(guò)密碼裝置1���、集線器5�、無(wú)線接入點(diǎn)6實(shí)施數(shù)據(jù)通信。
此時(shí)�,密碼裝置1,在安裝了密碼軟件的個(gè)人計(jì)算機(jī)7~9之間���,實(shí)施被加密的數(shù)據(jù)的通信�����,并且在未安裝密碼軟件的終端2~4之間為了實(shí)施沒(méi)有加密的數(shù)據(jù)通信的進(jìn)行加密處理和密碼的解密處理�。
例如��,將數(shù)據(jù)從臺(tái)式計(jì)算機(jī)7向網(wǎng)絡(luò)打印機(jī)2輸出打印時(shí)�����,首先使用安裝在臺(tái)式計(jì)算機(jī)7中的密碼軟件��,將數(shù)據(jù)加密���,通過(guò)集線器5供給密碼裝置1��。接著�����,密碼裝置1將接受到的數(shù)據(jù)解密���,然后輸送到網(wǎng)絡(luò)打印機(jī)2�。
另外�,例如將在DB服務(wù)器3中所管理的數(shù)據(jù)取入膝上型電腦9時(shí)����,DB服務(wù)器3,根據(jù)附給的要求�,將該數(shù)據(jù)供給密碼裝置1,接受此未加密數(shù)據(jù)的密碼裝置1����,將該數(shù)據(jù)加密,然后通過(guò)集線器5和無(wú)線接入點(diǎn)6發(fā)送到膝上型個(gè)人計(jì)算機(jī)9���。膝上型個(gè)人計(jì)算機(jī)9�����,將接受到的數(shù)據(jù)予以解密�,使用于期望的處理�。
從上面的說(shuō)明中可以明確�����,由于使用本實(shí)施方式的密碼裝置1�����,在具備不能安裝專(zhuān)用密碼軟件的終端2~4的企業(yè)內(nèi)LAN中也能使用密碼�����。由此可以構(gòu)建對(duì)來(lái)自外部的不正當(dāng)侵入或攻擊而使LAN內(nèi)部的機(jī)密信息的被盜取或被刪改的危險(xiǎn)性小的安全網(wǎng)絡(luò)10�。
另外���,在密碼裝置1與各個(gè)終端2~4之間���,雖然不能使用密碼,但是連接這些設(shè)備的電纜11是物理上很短的配線�,而由于該部份遭受外部攻擊而被盜取或被刪改的可能性極其小,因此在安全上不會(huì)成為問(wèn)題����。
圖4表示應(yīng)用了本實(shí)施方式的密碼裝置的密碼系統(tǒng)的其他構(gòu)成例子的圖。另外在該圖4中�,具有與圖3所示的構(gòu)成要素同一的功能的構(gòu)成要素標(biāo)注同一符號(hào)�����。如圖4所示����,本實(shí)施方式的密碼裝置1��,在一個(gè)端口連接有互聯(lián)網(wǎng)20�,在另一端口連接有集線器5��。
圖4的情況�����,是由密碼裝置1���、集線器5��、無(wú)線接入點(diǎn)6��、個(gè)人計(jì)算機(jī)7~9構(gòu)成一個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)���。另外��,在互聯(lián)網(wǎng)20的前面連接有多臺(tái)�����,如圖3所示的網(wǎng)絡(luò)打印機(jī)2����,DB服務(wù)器3���,網(wǎng)絡(luò)終端4等不能安裝密碼軟件的終端��,或如個(gè)人計(jì)算機(jī)7~9那樣的一般安裝有密碼軟件的個(gè)人計(jì)算機(jī)����,由此而構(gòu)成另一個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)��。
圖3所示的例子中�,對(duì)一臺(tái)的密碼裝置1連接一臺(tái)設(shè)備,以一臺(tái)的密碼裝置1專(zhuān)用于的進(jìn)行一臺(tái)設(shè)備的加密/解密處理�����。即圖3所示的密碼裝置1�,是連接在安裝有密碼軟件的個(gè)人計(jì)算機(jī)7~9與沒(méi)有安裝密碼軟件的一臺(tái)設(shè)備之間����,對(duì)該1臺(tái)的設(shè)備終端實(shí)現(xiàn)由加密而保證的安全���。
對(duì)此��,在圖4所示的例子中�,密碼裝置1是連接在安裝有密碼軟件的個(gè)人計(jì)算機(jī)7~9��,和連接在互聯(lián)網(wǎng)20的多臺(tái)的設(shè)備之間���。上述多臺(tái)的設(shè)備���,可以是如圖3所示網(wǎng)絡(luò)打印機(jī)2�����、DB服務(wù)器3�、網(wǎng)絡(luò)終端等那樣不能安裝(安裝)密碼軟件的設(shè)備,也可以是個(gè)人計(jì)算機(jī)7~9安裝(安裝)有密碼軟件的設(shè)備���。這樣��,本實(shí)施方式的密碼裝置1�,可以對(duì)多臺(tái)的設(shè)備終端實(shí)現(xiàn)由加密而保證的安全。此時(shí)�,密碼裝置1只具備連接的設(shè)備的數(shù)量個(gè)的數(shù)據(jù)通路,對(duì)每一設(shè)備分別以不同的密鑰來(lái)實(shí)施加密/解密處理�。
例如,從安全網(wǎng)絡(luò)10內(nèi)的臺(tái)式個(gè)人計(jì)算機(jī)7通過(guò)互聯(lián)網(wǎng)20向不具備密碼軟件的外部設(shè)備送出數(shù)據(jù)時(shí)��,首先使用安裝在臺(tái)式個(gè)人計(jì)算機(jī)7中的密碼軟件對(duì)數(shù)據(jù)予以加密�����,通過(guò)集線器5供給密碼裝置1�����,然后密碼裝置1將接受的數(shù)據(jù)予以解密����,通過(guò)互聯(lián)網(wǎng)20送出到外部設(shè)備。
另外����,例如,位于互聯(lián)網(wǎng)20的前面的不具備密碼軟件的外部設(shè)備中,將所管理的數(shù)據(jù)�����,取入安全網(wǎng)絡(luò)10內(nèi)的膝上型個(gè)人計(jì)算機(jī)9時(shí)�,該外部設(shè)備,根據(jù)要求�����,將該數(shù)據(jù)送出到互聯(lián)網(wǎng)20��。接受了該未加密數(shù)據(jù)的密碼裝置1�,將該數(shù)據(jù)加密,通過(guò)集線器5及無(wú)線接入點(diǎn)6傳送到膝上型個(gè)人計(jì)算機(jī)9����。膝上型個(gè)人計(jì)算機(jī)9是將所接受的數(shù)據(jù)予以解密,使用于期望的處理����。
另一個(gè)面�,欲從安全網(wǎng)絡(luò)10內(nèi)的臺(tái)式個(gè)人計(jì)算機(jī)7通過(guò)互聯(lián)網(wǎng)20向具有密碼軟件的外部設(shè)備發(fā)送數(shù)據(jù)時(shí),首先使用安裝在臺(tái)式個(gè)人計(jì)算機(jī)7中的密碼軟件�,將數(shù)據(jù)予以加密,通過(guò)集線器5發(fā)送到密碼裝置1。接著���,密碼裝置1����,將所接受的數(shù)據(jù)不予解密�����,通過(guò)互聯(lián)網(wǎng)20發(fā)送到外部設(shè)備��。外部設(shè)備將接受的數(shù)據(jù)予以解密�����,使用于期望的處理����。
相反的,將位于互聯(lián)網(wǎng)20前面的外部設(shè)備中的加密數(shù)據(jù)����,發(fā)送到安全網(wǎng)絡(luò)10內(nèi)的臺(tái)式個(gè)人計(jì)算機(jī)7時(shí),密碼裝置1���,將通過(guò)互聯(lián)網(wǎng)20從外部設(shè)備所接受的數(shù)據(jù)��,不予以解密��,保持加密的狀態(tài)通過(guò)集線器5供給到臺(tái)式個(gè)人計(jì)算機(jī)7�����。
如上所述�,在安全網(wǎng)絡(luò)10內(nèi)的終端7~9,與連接在網(wǎng)絡(luò)20上的不具有密碼軟件的外部設(shè)備之間��,進(jìn)行數(shù)據(jù)通信時(shí)����,至少在安全網(wǎng)絡(luò)10內(nèi)部可以使用密碼保護(hù)。另外���,連接在網(wǎng)絡(luò)20的外部設(shè)備安裝有密碼軟件時(shí)��,即使在安全網(wǎng)絡(luò)10的外部的互聯(lián)網(wǎng)20中也可以使用密碼�。
另外�����,上述多臺(tái)的設(shè)備不一定必須通過(guò)互聯(lián)網(wǎng)20連接���,也可行直接或通過(guò)集線器5連接到密碼裝置1��。在直接連接時(shí)���,密碼裝置1要具有2個(gè)以上的端口。
圖5是表示應(yīng)用本實(shí)施方式的密碼裝置的密碼系統(tǒng)再另一個(gè)構(gòu)成例的圖����。另外,在該圖5中��,具有與圖3所示的構(gòu)成要素同一功能的構(gòu)成要素標(biāo)注同一符號(hào)���。圖5所示的例子也與圖4的例子同樣���,以1臺(tái)的密碼裝置對(duì)多臺(tái)的設(shè)備終端實(shí)現(xiàn)由加密而保證的安全。
圖5所示的例子中����,在安全網(wǎng)絡(luò)10的內(nèi)部,三臺(tái)個(gè)人計(jì)算機(jī)7~9均以無(wú)線LAN連接于無(wú)線接入點(diǎn)6����,無(wú)線接入點(diǎn)6是通過(guò)密碼裝置1連接于互聯(lián)網(wǎng)20��。
圖6是表示應(yīng)用本實(shí)施方式的密碼裝置的密碼系統(tǒng)的進(jìn)一步另一個(gè)的構(gòu)成例的圖����。在上述圖3~圖5中��,作為具有本發(fā)明的密碼處理功能的終端的例子��,例舉了安裝密碼軟件的個(gè)人計(jì)算機(jī)7~9��,保證密碼裝置1和個(gè)人計(jì)算機(jī)7~9之間由加密而實(shí)現(xiàn)的安全���。具有處理密碼功能的終端不限于此例�����,也包含具有與密碼裝置1同樣的功能的其他密碼裝置�,圖6是表示這種情況的構(gòu)成例�。
在圖6所示的例子中,通過(guò)路由器40A���、40B和互聯(lián)網(wǎng)20將據(jù)點(diǎn)A�����、B的2個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)30A��、30B連接���。據(jù)點(diǎn)A網(wǎng)絡(luò)30A當(dāng)中,由個(gè)人計(jì)算機(jī)31A~33A和密碼裝置1A-1~1A-3而構(gòu)成企業(yè)內(nèi)LAN���。個(gè)人計(jì)算機(jī)31A~33A均是未安裝密碼軟件的終端����。另外�,密碼裝置1A-1~1A-3任一個(gè)都是具有與圖3的密碼裝置1同樣功能的裝置,一個(gè)端口連接個(gè)人計(jì)算機(jī)31A~33A�����,另一個(gè)端口連接路由器40A���。
據(jù)點(diǎn)B網(wǎng)絡(luò)30B中也同樣由個(gè)人計(jì)算機(jī)31B~33B和密碼裝置1B-1~1B-3�,而構(gòu)成企業(yè)內(nèi)LAN�����。個(gè)人計(jì)算機(jī)31B~33B均是未安裝密碼軟件的終端。密碼裝置1B-1~1B-3任一個(gè)均具有與圖3的密碼裝置1同樣的功能�,一個(gè)端口連接個(gè)人計(jì)算機(jī)31B~33B,另一個(gè)端口連接路由器40B�����。
根據(jù)上述的構(gòu)成����,屬于不同的據(jù)點(diǎn)網(wǎng)絡(luò)30A、30B的個(gè)人計(jì)算機(jī)之間�,是通過(guò)密碼裝置1A-1~1A-3、1B-1~1B-3進(jìn)行數(shù)據(jù)通信�。例如從位于據(jù)點(diǎn)A網(wǎng)絡(luò)30A內(nèi)的個(gè)人計(jì)算機(jī)31A向位于據(jù)點(diǎn)B網(wǎng)絡(luò)30B內(nèi)的個(gè)人計(jì)算機(jī)33B發(fā)送數(shù)據(jù)時(shí),密碼裝置1A-1將個(gè)人計(jì)算機(jī)31A附與數(shù)據(jù)予以加密����,通過(guò)路由器40A,互聯(lián)網(wǎng)20及路由器40B發(fā)送到密碼裝置1B-3���。密碼裝置1B-3將接受的數(shù)據(jù)解密后供給個(gè)人計(jì)算機(jī)33B����。由而在不同的據(jù)點(diǎn)網(wǎng)絡(luò)30A、30B間可以使用密碼�����。
另外��,例如在據(jù)點(diǎn)A網(wǎng)絡(luò)30A的內(nèi)部�����,未安裝密碼軟件的個(gè)人計(jì)算機(jī)31A~33A之間是通過(guò)密碼裝置1A-1~1A-3進(jìn)行數(shù)據(jù)通信�。例如����,從某個(gè)個(gè)人計(jì)算機(jī)31A發(fā)送數(shù)據(jù)到另一個(gè)個(gè)人計(jì)算機(jī)33A時(shí),密碼裝置1A-1���,將由個(gè)人計(jì)算機(jī)31A所附與的數(shù)據(jù)加密��,發(fā)送到密碼裝置1A-3�,密碼裝置1A-3將接受的數(shù)據(jù)予以解密�����,供給個(gè)人計(jì)算機(jī)33A。
在據(jù)點(diǎn)B網(wǎng)絡(luò)30B的內(nèi)部也同樣����,在未安裝密碼軟件的個(gè)人計(jì)算機(jī)31B~33B之間,是通過(guò)密碼裝置1B-1~1B-3進(jìn)行數(shù)據(jù)通信�。例如從某一個(gè)人計(jì)算機(jī)31B向另一個(gè)人計(jì)算機(jī)33B送數(shù)據(jù)時(shí),密碼裝置1B-1將由個(gè)人計(jì)算機(jī)31B所附與的數(shù)據(jù)加密�,發(fā)送到密碼裝置1B-3。密碼裝置1B-3將接受到的數(shù)據(jù)予以解密����,供給個(gè)人計(jì)算機(jī)33B。
如上所述���,密碼裝置1A-1~1A-3�����、1B-1~1B-3���,均在未安裝密碼軟件的個(gè)人計(jì)算機(jī)31A~33A、31B~33B之間����,進(jìn)行未經(jīng)加密的數(shù)據(jù)通信�����,并且在具有密碼處理功能的終端密碼裝置1A-1~1A-3�、1B-1~1B-3之間�����,為了進(jìn)行加密的數(shù)據(jù)通信��,而進(jìn)行加密處理和密碼的解密處理�����。
將上述的密碼裝置1A-1~1A-3���、1B-1~1B-3分別連接于個(gè)人計(jì)算機(jī)31A~33A、31B~33B的近傍���,不同的據(jù)點(diǎn)網(wǎng)絡(luò)30A�����、30B之間當(dāng)然不用說(shuō)�,在具有未安裝密碼軟件的個(gè)人計(jì)算機(jī)的企業(yè)內(nèi)LAN中也可能使用密碼。由此����,可以使各據(jù)點(diǎn)網(wǎng)絡(luò)30A、30B成為對(duì)外部的不正當(dāng)侵入或攻擊LAN內(nèi)部的機(jī)密信息被盜取或被刪改的危險(xiǎn)性小的安全網(wǎng)絡(luò)���。
另外���,在上述圖6的例子中,各據(jù)點(diǎn)網(wǎng)絡(luò)30A��、30B均是備有多個(gè)具有密碼處理功能的終端(密碼裝置1A-1~1A-3�、1B-1~1B-3)構(gòu)成的,但是也可以是至少一個(gè)的據(jù)點(diǎn)網(wǎng)絡(luò)是只備有一個(gè)密碼處理功能的終端����。例如據(jù)點(diǎn)網(wǎng)絡(luò)30A中,可以是連接一個(gè)個(gè)人計(jì)算機(jī)31A和一個(gè)密碼裝置1A-1����,的構(gòu)成。
此時(shí)��,與圖6所示的構(gòu)成同樣,在不同的據(jù)點(diǎn)網(wǎng)絡(luò)30A���、30B間可以使用密碼�����。另外�,涉及據(jù)點(diǎn)網(wǎng)絡(luò)30A中��,通過(guò)密碼裝置1A-1連接在個(gè)人計(jì)算機(jī)31A的近傍�,使該據(jù)點(diǎn)網(wǎng)絡(luò)30A的出入口與密碼裝置1A-1之間,可以使用密碼��。
另外�,在上述圖6例子中,對(duì)以互聯(lián)網(wǎng)20連接二個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)30A��、30B�,在各據(jù)點(diǎn)網(wǎng)絡(luò)30A���、30B內(nèi)分別備有密碼裝置1A-1~1A-3��、1B-1~1B-3及個(gè)人計(jì)算機(jī)31A~33A��、31B~33B的例子進(jìn)行了描述�����,但是本案并不局限于此��。
例如���,在1個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)內(nèi)備有密碼裝置1A-1~1A-3����、1B-1~1B-3和個(gè)人計(jì)算機(jī)31A~33A��、31B~33B���,也可以將未安裝密碼軟件的個(gè)人計(jì)算機(jī)31A~33A����、31B~33B之間的數(shù)據(jù)的交換�����,通過(guò)密碼裝置1A-1~1A-3����、1B-1~1B-3進(jìn)行��。此時(shí)�����,在1個(gè)據(jù)點(diǎn)網(wǎng)絡(luò)內(nèi)��,至少在密碼裝置1A-1~1A-3���、1B-1~1B-3之間可以使用密碼。
另外��,除了上述以外����,例如在圖3的構(gòu)成中,替代安裝有密碼軟件的個(gè)人計(jì)算機(jī)7���,也可以使用未安裝密碼軟件的個(gè)人計(jì)算機(jī)及密碼裝置1將密碼裝置1與集線器5連接的構(gòu)成。此時(shí)�,在不能安裝密碼軟件的網(wǎng)絡(luò)打印機(jī)2、DB服務(wù)器3�����、網(wǎng)絡(luò)終端4等的設(shè)備與未安裝密碼軟件的個(gè)人計(jì)算機(jī)之間,可以通過(guò)連接在二者近傍的密碼裝置1進(jìn)行密碼通信��。
圖7是表示在圖3所示的密碼系統(tǒng)中����,在密碼裝置1和與其直接或間接連接的DB服務(wù)器3和膝上型個(gè)人計(jì)算機(jī)9的通信協(xié)議的層次結(jié)構(gòu)的圖。圖7所示的例子中�,在DB服務(wù)器3中事先未安裝密碼軟件(沒(méi)有IP-Sec),而在膝上型個(gè)人計(jì)算機(jī)9中安裝有密碼軟件(具有IP-Sec)��。因此在DB服務(wù)器3與膝上型個(gè)人計(jì)算機(jī)9之間����,連接有本實(shí)施方式的密碼裝置1。這里��,將DB服務(wù)器3中所保存的數(shù)據(jù)發(fā)送到密碼裝置1�,假定在此將數(shù)據(jù)加密送至個(gè)人計(jì)算機(jī)9這樣的使用方式。
如圖7所示���,DB服務(wù)器3及個(gè)人計(jì)算機(jī)9分別備有一個(gè)端口31��、32���,擔(dān)任中繼機(jī)的密碼裝置1是備有二個(gè)端口33�����、34�����。對(duì)密碼裝置1的各端口33����、34��,分別設(shè)有物理層及MAC層(數(shù)據(jù)鏈路層)��,作為對(duì)各端口33����、34的共同設(shè)置而設(shè)有IP-Sec(加密/解密處理功能)、IP層(網(wǎng)絡(luò)層)���、TCP/UDP層(傳輸層)���。這樣,本實(shí)施方式的密碼裝置1具有由IP-Sec橋接在二個(gè)端口33�����、34之間的特征���。
這里�,所謂“橋接”是指該由一個(gè)端口輸入的被施以加密處理或解密處理的數(shù)據(jù)不經(jīng)過(guò)路由處理保持其狀況輸出到另一端口��。在圖7的例子中�,對(duì)從第1的端口輸入的數(shù)據(jù),在IP-Sec進(jìn)行加密����,將由此所獲得的數(shù)據(jù),在IP層不做路由處理(不交付IP層)保持其狀態(tài)交予其他端口輸出���,相當(dāng)于“橋接”�。如上所述�,在本實(shí)施方式的密碼裝置1中,關(guān)于DB服務(wù)器3與個(gè)人計(jì)算機(jī)9之間的數(shù)據(jù)轉(zhuǎn)發(fā)�����,不使用IP層和TCP/UDP層,在IP層的下位層進(jìn)行處理���。
即在DB數(shù)據(jù)庫(kù)3生成數(shù)據(jù)包數(shù)據(jù)���,通過(guò)該DB數(shù)據(jù)庫(kù)3的MAC層、物理層發(fā)送����,由密碼裝置1的第1端口33接受。接受的數(shù)據(jù)包數(shù)據(jù)通過(guò)物理層MAC層交予IP-Sec�,在這里進(jìn)行加密處理。此被加密的數(shù)據(jù)包數(shù)據(jù)是通過(guò)MAC層���、物理層由第2的端口發(fā)送出去�。
由第2的端口34所發(fā)送的數(shù)據(jù)包數(shù)據(jù)是由個(gè)人計(jì)算機(jī)9所接受���,通過(guò)物理層����、MAC層交予IP-Sec�����,進(jìn)行密碼解密,而且���,被解密的數(shù)據(jù)是通經(jīng)IP層交予圖中未表示的應(yīng)用層。由此雖然DB服務(wù)器3不具備密碼軟件���,仍可以對(duì)個(gè)人計(jì)算機(jī)9發(fā)送加密的數(shù)據(jù)���。
另外,本實(shí)施方式中�,IP層及TCP/UDP層,在對(duì)密碼裝置1本身設(shè)定有關(guān)加密/解密的各種信息時(shí)使用���。例如���,在某個(gè)終端與某個(gè)終端之間進(jìn)行密碼通信時(shí),但是與其他的終端之間不進(jìn)行密碼通信等這樣的有無(wú)加密/解密處理���,能否在某終端與某終端之間進(jìn)行丟棄數(shù)據(jù)包等這樣的通信���,實(shí)施密碼通信時(shí)的加密等級(jí),實(shí)施加密的時(shí)間段,密鑰等相關(guān)各種信息在密碼裝置中設(shè)定的時(shí)候�,使用IP層和TCP/UDP層。
此種設(shè)定信息是通過(guò)IP-Sec橋接的功能而保持在存儲(chǔ)器中�。IP-Sec是對(duì)照保持在該存儲(chǔ)器中的設(shè)定信息和從端口33、34輸入的附加在數(shù)據(jù)包頭部的信息(例如發(fā)送者IP地址���,收信IP地址)��,進(jìn)行加密/解密處理的控制��。
如上所述�����,在本實(shí)施方式的密碼裝置1中����,將從一個(gè)端口輸入的數(shù)據(jù)在IP-Sec施以加密/解密��,由此得到的數(shù)據(jù)不交予IP層���,不進(jìn)行路由處理保持這樣轉(zhuǎn)發(fā)到其他端口����,所以在數(shù)據(jù)通信時(shí)可以不需要密碼裝置1的IP地址。即不具備IP地址就可以進(jìn)行IP層的加密/解密處理�。因此可以不必對(duì)密碼裝置1自身進(jìn)行繁雜的IP地址設(shè)定。
另外�����,由于連接于密碼裝置1兩側(cè)的終端是屬于同一網(wǎng)絡(luò)����,所以密碼裝置1的輸入端口及輸入端口而不會(huì)有IP地址的改變����。由此,密碼裝置1與有無(wú)連接到網(wǎng)絡(luò)上無(wú)關(guān)���,可以保持IP地址的透過(guò)性�����。即當(dāng)網(wǎng)絡(luò)上連接密碼裝置1�����,或從網(wǎng)絡(luò)上卸下密碼裝置1時(shí)均不會(huì)改變連接在該密碼裝置1上的終端的地址設(shè)定��。
例如����,如圖7所示,無(wú)論是在DB服務(wù)器3與個(gè)人計(jì)算機(jī)9之間插入密碼裝置1的情況���,還是在不插入密碼裝置1在DB服務(wù)器3與個(gè)人計(jì)算機(jī)9之間進(jìn)行直接通信的情況��,該通過(guò)DB服務(wù)器3與個(gè)人計(jì)算機(jī)9之間的數(shù)據(jù)包的IP地址��,都如圖8所示保持不變�。所以不需要根據(jù)有無(wú)連接密碼裝置1而改變?nèi)魏蔚刂吩O(shè)定�����。
由此在導(dǎo)入網(wǎng)絡(luò)系統(tǒng)時(shí)或?qū)嵤┚S修時(shí)�,只將本實(shí)施方式的密碼裝置1插入于適當(dāng)?shù)牡胤交蛑徊鹣戮涂梢裕槐匾M(jìn)行繁雜的地址設(shè)定��,因而可以大幅度地削減作業(yè)負(fù)荷���。
再者�����,本實(shí)施方式時(shí)��,對(duì)MAC地址也可以保持透過(guò)性����。圖9是表示從DB服務(wù)器3向個(gè)人計(jì)算機(jī)9發(fā)送數(shù)據(jù),在其中間的密碼裝置1對(duì)數(shù)據(jù)進(jìn)行加密時(shí)的數(shù)據(jù)包的圖�����。另外�,圖10是表示為了與本實(shí)施方式比較,在圖1所示的以往技術(shù)的系統(tǒng)中�����,數(shù)據(jù)從一個(gè)個(gè)人計(jì)算機(jī)101向另一個(gè)個(gè)人計(jì)算機(jī)102發(fā)送�����,在其中間的VPN路由器103將數(shù)據(jù)加密時(shí)的數(shù)據(jù)包的圖���。
圖9(a)和圖10(a)表示在第1的端口33、107所接受的數(shù)據(jù)包���。圖9(b)和圖10(b)是表示由第2的端口34��、108所發(fā)送的數(shù)據(jù)包���。另外���,在IP-Sec中,存在只將數(shù)據(jù)部分加密的傳遞模式�,和將數(shù)據(jù)包全部予以加密,再追加新頭部的隧道模式兩種模式��。關(guān)于發(fā)送數(shù)據(jù)包��,對(duì)這二個(gè)模式分別進(jìn)行表示���。
由圖9可以明確�,根據(jù)本實(shí)施方式時(shí)����,不但是IP地址,對(duì)MAC地址�����,也不會(huì)有第1的端口33和第1的端口34不同?�?梢员3諱AC地址的透過(guò)性����。即本實(shí)施方式的密碼裝置1,除了具有IP-Sec實(shí)施數(shù)據(jù)的加密/解密處理之外���,只是將從一個(gè)端口輸入的數(shù)據(jù)流入另一個(gè)端口而已��,所以在進(jìn)行數(shù)據(jù)通信時(shí)可以不需要MAC地址����。
另外���,在上述實(shí)施方式中,相當(dāng)于OSI參照模式的第3層網(wǎng)絡(luò)層的例子而例舉出IP層���,但是該IP層也可以是諾貝爾公司的網(wǎng)絡(luò)OS所使用通信協(xié)議的IPX(Internetwork Packet exchange)層�。另外���,如果能使用IP-Sec也可以是其他的通信協(xié)議�����。
而且���,如上所述的實(shí)施方式中�,所表述的不過(guò)是將本發(fā)明賦予實(shí)施的一個(gè)具體化的示例而已�,并非由此而限定地解釋本發(fā)明的技術(shù)范圍。即本發(fā)明在不脫離其精神����,或其主要特征條件下,可以以各種的形式實(shí)現(xiàn)�����。
本發(fā)明如上所述�����,在導(dǎo)入密碼處理功能的終端之間�����,為了實(shí)現(xiàn)終端由加密而保證的安全,備有實(shí)施加密處理和密碼解密的加密/解密處理機(jī)構(gòu)���,從而構(gòu)成密碼裝置�����,將該密碼裝置通過(guò)網(wǎng)絡(luò)與終端連接���,即使在備有不能安裝專(zhuān)用密碼軟件的終端的企業(yè)內(nèi)LAN中,也可以使用密碼�����,可以降低由外部來(lái)的不正當(dāng)侵入或攻擊而使LAN內(nèi)部的機(jī)密信息被盜取或刪改的危險(xiǎn)性�����。
再者��,本發(fā)明中�,將該被施予加密處理或被解密處理的數(shù)據(jù),可以不交予網(wǎng)絡(luò)間路由控制的網(wǎng)絡(luò)層就輸出��,所以在數(shù)據(jù)通信時(shí)可以不要密碼裝置的IP地址����。另外,在密碼裝置的輸入端口與輸出端口��,IP地址不會(huì)改變�����,因此與密碼裝置有無(wú)連接到網(wǎng)絡(luò)上無(wú)關(guān)可以保持IP地址的透過(guò)性�,所以即使與密碼裝置連接的終端的地址設(shè)定相關(guān)也不必變更。由此����,不需要實(shí)施地址設(shè)定等繁雜的作業(yè),在企業(yè)內(nèi)LAN也可以使用密碼����。
產(chǎn)業(yè)上的使用可能性本發(fā)明,在具備無(wú)法安裝專(zhuān)用密碼軟件的終端的企業(yè)內(nèi)LAN中也可以使用密碼��,降低由外部不正當(dāng)侵入或攻擊而使LAN內(nèi)部的機(jī)密信息被盜取或刪改的危險(xiǎn)性��。
另外�����,本發(fā)明不需要實(shí)施地址設(shè)定等繁雜的作業(yè),使企業(yè)內(nèi)LAN也能使用密碼�。
權(quán)利要求
1.一種密碼裝置,在備有多個(gè)的端口�、其中的至少一個(gè)端口直接或間接地連接有具有密碼處理功能的終端的密碼裝置中,其特征在于�����,具有加密/解密機(jī)構(gòu)�,其為了在上述具有密碼處理功能的終端之間,為了實(shí)現(xiàn)終端由加密而保證的安全��,進(jìn)行數(shù)據(jù)的加密處理及解密處理��;橋接機(jī)構(gòu)���,其將由上述多個(gè)的端口中的一個(gè)端口輸入的����、經(jīng)上述加密/解密機(jī)構(gòu)施以加密處理或解密處理的數(shù)據(jù)�,不進(jìn)行路由處理保持原樣地輸出到其他端口。
2.根據(jù)權(quán)利要求1所述的密碼裝置��,其特征在于�,上述加密/解密機(jī)構(gòu)���,為了在上述具有密碼處理功能的終端之間進(jìn)行加密的數(shù)據(jù)通信��,并且在不具有密碼處理功能的終端之間進(jìn)行不加密的數(shù)據(jù)通信��,進(jìn)行上述加密處理和上述解密處理���。
3.一種密碼裝置�,在備有多個(gè)的端口���、其中的至少一個(gè)端口直接或間接地連接有具有密碼處理功能的終端的密碼裝置中�,其特征在于�,具有加密/解密機(jī)構(gòu),其對(duì)從上述多個(gè)端口中的一個(gè)端口輸入的�、通過(guò)物理層及數(shù)據(jù)鏈路層交予的數(shù)據(jù),進(jìn)行加密處理或解密處理���;橋接機(jī)構(gòu)�,其將由上述加密/解密機(jī)構(gòu)施以加密處理或解密處理的數(shù)據(jù)��,并不交予進(jìn)行網(wǎng)絡(luò)間的路由控制的網(wǎng)絡(luò)層���,而通過(guò)數(shù)據(jù)鏈路層和物理層�����,從其他的端口輸出��。
4.根據(jù)權(quán)利要求3所述的密碼裝置���,其特征在于���,還具備設(shè)定信息存儲(chǔ)機(jī)構(gòu),其用于存儲(chǔ)有關(guān)控制上述加密處理及上述解密處理的設(shè)定信息�,上述加密/解密機(jī)構(gòu),對(duì)照存儲(chǔ)在上述設(shè)定信息存儲(chǔ)機(jī)構(gòu)的設(shè)定信息��,和附加在從上述一個(gè)端口輸入的數(shù)據(jù)包頭部的信息�����,進(jìn)行上述加密處理和上述解密處理的控制��。
5.一種密碼方法���,在具有多個(gè)的端口��、其中的至少一個(gè)端口直接或間接地連接有具有密碼處理功能的終端的密碼裝置實(shí)施加密處理或解密處理的方法中����,其特征在于,對(duì)從上述多個(gè)端口中的一個(gè)端口輸入的�、通過(guò)物理層及數(shù)據(jù)鏈路層交予的數(shù)據(jù)施以加密處理或解密處理�����,將由此得到的數(shù)據(jù)并不交予進(jìn)行網(wǎng)絡(luò)間路由控制的網(wǎng)絡(luò)層����,而是通過(guò)數(shù)據(jù)鏈路層和物理層從其他的端口輸出。
6.一種密碼系統(tǒng)����,其特征在于,是將具有密碼處理功能的終端和權(quán)利要求1所述的密碼裝置���,通過(guò)無(wú)線或有線的網(wǎng)絡(luò)連接而構(gòu)成����。
7.一種密碼系統(tǒng)����,其特征在于�,在具有密碼處理功能的終端與不具有密碼處理功能的終端之間����,通過(guò)無(wú)線或有線的網(wǎng)絡(luò),連接權(quán)利要求2所述的密碼裝置而構(gòu)成��。
全文摘要
一種安全裝置(1)�,為了在安裝了密碼軟件的個(gè)人計(jì)算機(jī)(7~9)之間,為了實(shí)現(xiàn)終端由加密而保證的安全����,設(shè)置進(jìn)行加密處理和密碼解密處理的密碼裝置(1),例如通過(guò)將未安裝密碼軟件的終端(2~4)與個(gè)人計(jì)算機(jī)(7~9)之間連接���,使具有不能安裝專(zhuān)用密碼軟件的終端(2~4)的企業(yè)內(nèi)LAN中也可以使用密碼����,從而可以建立對(duì)于外部的不正當(dāng)?shù)厍秩牖蚬舳鳯AN內(nèi)部的機(jī)密信息的被盜取的危險(xiǎn)性小的安全網(wǎng)絡(luò)(10)����。
文檔編號(hào)H04L9/10GK1653744SQ03810510
公開(kāi)日2005年8月10日 申請(qǐng)日期2003年4月24日 優(yōu)先權(quán)日2002年5月9日
發(fā)明者井澤誠(chéng), 成田宏光, 岡本明 申請(qǐng)人:新瀉精密株式會(huì)社, 株式會(huì)社麥克羅綜合研究所